不久前聽說了一個很奇怪的采購案例：一個網(wǎng)絡(luò)規(guī)模不大的企業(yè)用戶想買臺流控產(chǎn)品放在互聯(lián)網(wǎng)出口，聞風(fēng)而動的代理商給推薦的則大多是下一代防火墻，且一度得到用戶認(rèn)可。但在一系列的評估測試之后，用戶最終卻選擇了一臺上網(wǎng)行為管理產(chǎn)品，做為網(wǎng)絡(luò)邊緣唯一的設(shè)備。

是什么原因?qū)е抡袠?biāo)采購對象前后出現(xiàn)兩次變化呢?

經(jīng)過了解，用戶的原始需求其實(shí)很簡單，就是屏蔽一些與工作無關(guān)的應(yīng)用，同時基于應(yīng)用做流量整形，緩解出口帶寬擁塞的情況。用戶業(yè)務(wù)對互聯(lián)網(wǎng)沒有很強(qiáng)的依賴性，自身也沒有足夠的IT能力，希望出口設(shè)備越少越好，操作越簡單越好。

流控是最先被排除的一類產(chǎn)品，用戶發(fā)現(xiàn)不少流控產(chǎn)品并不支持路由和NAT，也就是說不具備接入能力，還得另行采購一臺路由器或者防火墻。這不但增加了拓?fù)浜瓦\(yùn)維的復(fù)雜度，也讓總體價格有所增加。而下一代防火墻一度被認(rèn)可，是因?yàn)樗茉跐M足包括接入在內(nèi)的所有需求的同時，提供了基于身份的配置與報表輸出能力。不過，在將郵件服務(wù)遷移到云端的企業(yè)郵箱后，企業(yè)內(nèi)部已經(jīng)沒有任何對外發(fā)布的服務(wù)器，用戶不愿為IPS等用不上的安全功能付費(fèi)。

至于上網(wǎng)行為管理的勝出，其實(shí)與IT人員關(guān)系不大。在他看來，接入、對應(yīng)用流量進(jìn)行控制、基于用戶的配置與管理，這些下一代防火墻和上網(wǎng)行為管理都能做。真正對上網(wǎng)行為管理表現(xiàn)出濃厚興趣的是企業(yè)的管理層，他們對這種產(chǎn)品提供的提升管理效率和員工工作效率的技術(shù)手段更感興趣。換句話說，上網(wǎng)行為管理在滿足IT需求外，也滿足了企業(yè)的管理需求，是兩個層面的價值令其脫穎而出，成為用戶的最終選擇。

上網(wǎng)行為管理的前世今生

這個案例的采購過程雖然比較曲折，結(jié)果卻絲毫不令人驚訝。雖然在幾年前的下一代防火墻專題調(diào)研中，有不少安全廠商認(rèn)為這種新產(chǎn)品會蠶食掉一部分上網(wǎng)行為管理的份額，但如今的市場格局卻與預(yù)測相反。在下一代防火墻、IPS等主流產(chǎn)品的夾擊下，上網(wǎng)行為管理非但沒顯示出低迷的跡象，反而有二次發(fā)力的征兆，受到用戶越來越多的關(guān)注與認(rèn)可。

在多數(shù)人眼里，上網(wǎng)行為管理就是流控產(chǎn)品的加強(qiáng)版。它除了能對流量中的應(yīng)用進(jìn)行識別與控制，還能做一些文件或者關(guān)鍵字級別的過濾，同時對應(yīng)用流量的傳輸內(nèi)容進(jìn)行留存審計(jì)。站在橫向?qū)Ρ鹊慕嵌?，這種看法是正確的，但從產(chǎn)品發(fā)展的縱向角度看，上網(wǎng)行為管理和網(wǎng)絡(luò)安全審計(jì)產(chǎn)品之間才是真正的傳承關(guān)系。而它們技術(shù)上共同的DNA，是數(shù)據(jù)收集。

做為數(shù)據(jù)收集領(lǐng)域的開拓者，網(wǎng)絡(luò)安全審計(jì)產(chǎn)品曾在行業(yè)用戶中有著廣泛部署，但在網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)應(yīng)用的發(fā)展面前，它逐漸失去了原有的效果。受當(dāng)時軟硬件水平的限制，網(wǎng)絡(luò)安全審計(jì)產(chǎn)品無法感知上層應(yīng)用，只能通過端口識別的方式對特定流量進(jìn)行記錄。此外，它僅能工作在旁路模式，無法對網(wǎng)絡(luò)訪問行為做到阻斷等實(shí)時處理，只有在取證溯源時發(fā)揮作用。對于這樣一款產(chǎn)品，用戶的重視程度自然越來越小。

大約十年前，網(wǎng)絡(luò)安全審計(jì)產(chǎn)品開始了第一次形態(tài)革命。在逐步加入應(yīng)用識別、身份識別、URL分類庫等功能和網(wǎng)絡(luò)接入能力后，它以上網(wǎng)行為管理的全新形象出現(xiàn)在世人面前(這絕對是個雅俗共賞且令人望文生義的好名字，堪稱網(wǎng)絡(luò)安全產(chǎn)品發(fā)展史上最成功的一次產(chǎn)品包裝)。而數(shù)據(jù)收集這一繼承自網(wǎng)絡(luò)安全審計(jì)的核心功能，也有了相當(dāng)程度的強(qiáng)化。從最初的五元組信息到網(wǎng)頁、郵件標(biāo)題，再到網(wǎng)頁、郵件、聊天的內(nèi)容及應(yīng)用協(xié)議傳輸文件的重組還原，上網(wǎng)行為管理的數(shù)據(jù)收集能力愈發(fā)豐富，并以此為基礎(chǔ)賦予用戶強(qiáng)大的審計(jì)能力。同時，部分行業(yè)領(lǐng)導(dǎo)廠商開始將目光投向收集到的海量數(shù)據(jù)，基于數(shù)據(jù)分析為用戶提供了諸如員工離職、工作效率、泄密等趨勢預(yù)測功能。自此，上網(wǎng)行為管理產(chǎn)品不再只服務(wù)于IT部門，也開始為管理層提供有價值的決策參考。

在這個進(jìn)化的過程中，上網(wǎng)行為管理比網(wǎng)絡(luò)安全審計(jì)主要有了三個方面的蛻變。首先是對流量的識別方式，從基于端口過度到基于應(yīng)用協(xié)議，跟上了網(wǎng)絡(luò)應(yīng)用的發(fā)展潮流。其次是作用對象從IP到自然人的變化，可以與用戶的組織結(jié)構(gòu)對應(yīng)融合，使策略與報表的描述變得更加貼近于管理流程。最后也是最關(guān)鍵的變化，上網(wǎng)行為管理的作用層面從事后向前拓展至事中，變成了對IT和管理起到輔助作用的產(chǎn)品，而不再僅僅是一款保證合規(guī)性的產(chǎn)品。毫無疑問，事后溯源取證只是無奈之舉，如果能夠?qū)崟r管控好人的行為，勢必可以避免很多需要溯源取證的事件的發(fā)生，這也是如今上網(wǎng)行為管理產(chǎn)品的核心價值所在。

隨著移動互聯(lián)網(wǎng)時代的到來，上網(wǎng)行為管理正在需求驅(qū)動下發(fā)生著又一次革命。面對網(wǎng)絡(luò)中出現(xiàn)的海量移動設(shè)備，對移動終端類型的識別、對移動終端上網(wǎng)位置的感知、對移動應(yīng)用的識別、管理、審計(jì)，逐步成為用戶眼中上網(wǎng)行為管理產(chǎn)品必須具備的功能。此外，越來越多的用戶對上網(wǎng)行為管理收集到的數(shù)據(jù)產(chǎn)生興趣，他們已不滿足于設(shè)備提供的普適卻不深入的分析能力，而是希望借助這些數(shù)據(jù)，挖掘出對自身運(yùn)營及業(yè)務(wù)發(fā)展有益的信息。用戶的嘗試目前雖然仍停留在初級階段，卻為上網(wǎng)行為管理產(chǎn)品未來的發(fā)展指出了明確的方向。

原文地址：http://www.gawainresearch.com/%E4%B8%8A%E7%BD%91%E8%A1%8C%E4%B8%BA%E7%AE%A1%E7%90%86%E4%BA%A7%E5%93%81%E3%80%81%E5%B8%82%E5%9C%BA%E4%B8%8E%E5%BA%94%E7%94%A8%E7%8E%B0%E7%8A%B6%E8%B0%83%E7%A0%94%E5%88%86%E6%9E%90%EF%BC%881%EF%BC%89/